COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA?

COMPLIANCE, GOVERNANCE E SICUREZZA NELL’ICT: TRE FACCE DELLA STESSA MEDAGLIA?

13 Dicembre 2012

Saipem 2

Agenda

Il contesto

Il percorso

Saipem 3

Il contesto

Il percorso

Agenda

Saipem 4

Saipem Highlights Leading Global EP(I)C General Contractor

High quality player onshore and in niches offshore

Drilling

Key local employer and investorin strategic markets

Revenues (2011) 12.6 B€Backlog (June 30th, 2012) 20.3 B€

Employees 44,300 Engineers & Project Managers > 7,000

Operating in more than 70 countries,more than 50 permanent establishments,employees from 127 nationalities

Distinctive ‘frontier focus’ inOil & Gas industries

Full service EP(I)C provider

Most modern, technologicallyadvanced offshore construction fleet

Engineering & Construction

Saipem 5

Milan

Engineering CentresYards & Main Logistic BasesOther Main Areas and Rep. Offices

Fano

Chennai

Paris

Global Presence with a Multilocal Emphasis

(°) October 31st, 2012

Rome

Human Resources 44,297 employees of 127 nationalities (°)

EP(I)C Hubs

Saipem

Two Global Business Units

• Oil & Gas Production• Gas Processing, LNG, GTL, GTS • Import/Export Terminals• Pipelines and Oil & Gas Transportation

Systems• Refineries, Heavy Oils Conversion,

Chemical Plants

Sealines Subsea Field Development Fixed Facilities Floaters Subsea Services via Remote Technologies

Engineering and Construction

Drilling

Offshore high quality niche player & Onshore frontier focus

6

Saipem

Castoro Sei

Field Development / SURFLifting and DLB

Ultra-Heavy Lifting & deepwater pipelaying

Saipem 7000

Pipelaying

S355

Semac 1

Saipem FDS

Castoro 7

Castoro 2

Castoro Otto

Saipem 3000

Castorone

Saipem FDS 2

(Under construction)

Castoro 10

7

Saipem Assets: Offshore Construction VesselsSaipem offshore fleet exceeds 40 units

Saipem 8

Saipem 12000 (W.D.: 12.000 ft)Angola

Saipem 10000 (W.D.: 10.000 ft)Mozambique

Scarabeo 5 (W.D.: 6.500 ft)Norway – North Sea

Deep Water Units

Perro Negro 8 (W.D.: 350 ft)Italy

Perro Negro 7 (W.D.: 375 ft)Saudi Arabia

Perro Negro 6 (W.D.: 350 ft)Angola

Jack Up Units

Scarabeo 9 (W.D.:12.000 ft)Cuba

Scarabeo 8 (W.D.: 10.000 ft)Norway – North Sea

Selected Drilling AssetsFrom a total of 24 wholly-owned offshore units and almost 100 onshore rigs

5824– Helioportable Rig –Ecuador/Perù

5898 – 1500 HP Desert Enviroment –Algeria/Arabia

5946 – 3000 HP Winterized Rig Kashagan Field - Kazakhstan

Onshore Units

Saipem 9

Infrastruttura Saipem

Infrastruttura Windows

Infrastruttura WAN

Saipem 10

Il contesto

Il percorso

Agenda

Saipem

Compliance ICT

2006/2007

2012/2013

Sarbanes-Oxley Act

General Computer Controls (GCC)Framework: COSOScope: Saipem SpAFinancial Information

IT General Controls(ITGC)Framework: COBITScope: Saipem SpA + selected OperatingCompaniesFinancial Information

L.262/05

ISO27001 Saipem ModelFramework: ISO27001Scope: Saipem GroupAll Company Information

ISO27001

ICT System of ControlFrameworks: COBIT, COSO, ISO27001Scope: Saipem GroupAll Company Information

ISoC

2008/2011

11

Saipem

Compliance ICT

2006/2007Sarbanes-Oxley ActSarbanes-Oxley Act

General Computer Controls (GCC)Framework: COSOScope: Saipem SpAFinancial Information

IT General Controls(ITGC)Framework: COBITScope: Saipem SpA + selected OperatingCompaniesFinancial Information

L.262/05L.262/05

12

Saipem

Nuovo Perimetro

Revisione Matrice

Verifica del Disegno

Monitoraggio di

OperativitàGestione Carenze

Monitoraggio SOX/262: processo e modello organizzativo

COSO

Sarbanes-Oxley Act

Matrice dei Controlli Rischio Controllo Procedura di test

• SOX: da Eni• 262: da Saipem

Corporate IT Compliance• IT Risk Owner

• Referente di Attuazione del Monitoraggio• Team di Supporto/Monitoraggio

Local IT Operations• IT Control Owner

• Local IT Manager/IT Coordinator

Modello Organizzativo

Matrice dei Controlli

L.262/2005

COBIT

13

Saipem

Compliance ICT

2006/2007Sarbanes-Oxley Act

General Computer Controls (GCC)Framework: COSOScope: Saipem SpAFinancial Information

IT General Controls(ITGC)Framework: COBITScope: Saipem SpA + selected OperatingCompaniesFinancial Information

L.262/05

ISO27001 Saipem ModelFramework: ISO27001Scope: Saipem GroupAll Company Information

ISO27001ISO27001

2008/2011

14

Saipem 15

ObiettiviAdottare un sistema comune di gestione della sicurezza delle

informazioni e dei relativi processi ICT

Migliorare il livello di protezione di dati/informazioni contro minacce

interne/esterne e garantirne l'integrità, la disponibilità e la riservatezza

Creare una cultura aziendale condivisa in merito alla sicurezza ICT e volta

all’ottimizzazione dei processi

Matrice dei Controlli– Modello Saipem ISO27001Matrice dei Controlli– Modello Saipem ISO27001

Annex A ISO27001

Requisiti di Business

Progetto ISO27001

Lo Standard ISO27001 come framework

Saipem

Invio Matrice Interviste Valutazione

controlliIdentificazione

gapCondivisione

risultatiRemediation

Plan

16

ISO27001: processo e modello organizzativo

Corporate IT Compliance• IT Lead Auditor

• IT Auditors• Team di Supporto/Monitoraggio

Remediation Plan

Local IT Operations• Local IT Manager/IT Coordinator

Modello Organizzativo

Matrice dei Controlli– Modello Saipem ISO27001Matrice dei Controlli– Modello Saipem ISO27001

ASSESSMENT

Chiusura gapTest

(disegno/operatività)Implementazione

ActionCondivisione Action

PlanProposta Action

Plan

MONITORAGGIO

Coordinamento e Supporto “attivo”

~ 200 “contatti” mensili con Local IT Manager

20 Videoconferenze/mese 80 call conference/mese 100 email/mese

Saipem 17

Gli assessment ISO27001 (1/2)

Assessment ISO27001 eseguiti

Società Saipem

28 Assessments eseguiti 69 interviste effettutate 2952 controlli testati (2393 valutati) 38 Server Rooms visitate (~16,000

postazioni di lavoro) ~1300 applicativi censiti 154 procedure & 461 documenti

raccolti e analizzati 1135 gap identificati:

616 gap chiusi (test disegno/operatività)

228 gap aperti 145 gap in attesa Linee Guida

Corporate 98 test di operatività in corso 48 test di operativa pianificati

Saipem 18

Gli assessment ISO27001 (2/2)

Risultati Assessment

2012

A.5 - Security Policy A.6 - Organization of Information Security A.8 - Human Resources SecurityA.9 - Physical and Environmental SecurityA.14 - Disaster Recovery and Service Continuity ManagementA.15 - Compliance

A.7 - Asset Management A.10 - Communications and Operations Management A.11 - Access ControlsA.12 - Information Systems Acquisition, Development and MaintenanceA.13 - Information Security Incident Management

Saipem

Compliance ICT

2006/2007

2012/2013

Sarbanes-Oxley Act

General Computer Controls (GCC)Framework: COSOScope: Saipem SpAFinancial Information

IT General Controls(ITGC)Framework: COBITScope: Saipem SpA + selected OperatingCompaniesFinancial Information

L.262/05

ISO27001 Saipem ModelFramework: ISO27001Scope: Saipem GroupAll Company Information

ISO27001

ICT System of ControlFrameworks: COBIT, COSO, ISO27001Scope: Saipem GroupAll Company Information

ISoCISoC

2008/2011

19

Saipem 20

Il nuovo modello di Governance: L’Organizzazione

Organizzazione IT Dept.Organizzazione IT Dept.

2012

2006

Saipem 21

Il nuovo modello di Governance: ISoC

MATRICE DEI CONTROLLI

ISoC

Matrice dei Controlli

SOX Matrice dei Controlli

262

Matrice dei Controlli

ISO27001

IRESICT Regulations and

Standards

Assessment•IT Lead Auditor

• IT Auditors

Gestione•IT Risk Owner

• Referente di Attuazione del Monitoraggio

• Team di Supporto e Monitoraggio

Implementazione di un Information Security Management System

(certificazione ISO27001)

Saipem

ISoC: Le Procedure

Revisione Corpo Procedurale ICTRevisione Corpo Procedurale ICT

Processo di gestione

1. Pianificazione annuale2. Assegnazione di un owner per ogni procedura3. Monitoraggio di attuazione del piano (con KPI)

OBIETTIVO: Assicurare la Compliance a norme e Standard nazionali e internazionali

applicabli all’ICT e ai requisiti di business

ATTIVITÀ

AssessmentISO27001

Requisiti ICT e di business

Contesto legislativo e

StandardDRIVER

Modello Corporate STD Corporate Standard

Procedure

• Policy• Controlli• Segregation of Duties• Vincoli

WI Local Work InstructionWI Local Work InstructionWI Local Work Instruction

WI Local Work Instruction

• Processi• Ruoli e responsabilità

• Verifica Compliance a STD• Supporto all’implementazione

22

Saipem 23

Modello di Gestione Rischio-PaeseModello di Gestione Rischio-Paese

ISoC: la Gestione del Rischio (1/2)

Electronic Data Classification & Risk Analysis ProgramRisk Analysis

Objective: Opportunity to know & mitigate or accept

remaining risk• Understand Risk remaining (Low, Medium or

High) Survey responded to by ICT (Security)

Manager Locally identified security threats analyzed

Data Classification

Objective: Opportunity to manage data and protection

measures according to its valueENI Approach:

Understand Value of data (Low, Medium orHigh)

Saipem 24

Modello di Gestione Rischio-PaeseModello di Gestione Rischio-Paese

ISoC: la Gestione del Rischio (2/2)

Definizione Misure Minime Di Sicurezza nell’IT nei paesi a rischio

R

Disaster Recovery Plan

< ...

Disaster Recovery Plan

Piano di Sicurezza IT: servizi e asset critici + misure preventive per salvaguardarli

Piano di Crisi IT: azioni in caso di crisi socio-politica

> ...